Attackers 익스플로잇 FortiGate firewalls to steal Active Directory 자격 증명s from healthcare and government networks. KadNap 악성코드 hijacks 14,000+ ASUS routers into a stealth proxy 봇넷. Microsoft March Patch Tuesday fixes 2 zero-days and 79 취약점. BlackSanta EDR 킬러가 HR 부서를 타겟팅합니다. HPE가 AOS-CX 스위치의 치명적 인증 우회 취약점을 패치합니다.
위협 행위자들이 남용하고 있습니다 FortiGate Next-Generation Firewall (NGFW) appliances 피해자 네트워크 침해의 진입점으로. 이 캠페인은 의료, 정부, 관리 서비스 제공업체 환경을 타겟팅합니다, 다음을 포함하는 구성 파일을 추출합니다 service account 자격 증명s 및 네트워크 토폴로지 데이터.
에 따르면 SentinelOne, attackers 익스플로잇 recently disclosed 취약점 — CVE-2025-59718, CVE-2025-59719, and CVE-2026-24858 — or weak 자격 증명s to compromise FortiGate appliances. Because these devices often connect to Active Directory and LDAP for role-based policy enforcement, a compromised appliance hands attackers the keys to the entire authentication infrastructure.
문서화된 한 사건에서, 공격자들은 악성 로컬 관리자 계정을 생성했습니다 named "support," 4개의 허용적인 방화벽 정책을 구성했습니다, and 이후 구성 파일을 복호화했습니다 to extract clear-text LDAP service account 자격 증명s. 그 다음 탐지되기 전에 악성 워크스테이션을 Active Directory에 등록했습니다.
필수 조치: FortiGate 어플라이언스를 최신 펌웨어로 즉시 패치하세요. Rotate all service account 자격 증명s connected to FortiGate. 모든 관리 인터페이스에서 MFA를 활성화하세요. 모니터링 for unauthorized account creation and firewall policy changes.
A new 악성코드 called KadNap 14,000개 이상의 엣지 네트워킹 장치를 감염시켰습니다 — 주로 ASUS 라우터 — to power a stealth proxy 봇넷. 피해자의 60% 이상이 미국에 위치합니다.
발견: Black Lotus Labs at Lumen, KadNap 커스텀 버전을 사용합니다 Kademlia Distributed Hash Table (DHT) 프로토콜로 명령 및 제어 인프라를 은닉합니다 P2P 네트워크 내에서, 차단 시도에 대한 높은 복원력을 제공합니다.
침해된 장치는 프록시 서비스로 유입됩니다 called Doppelgänger (a rebrand of the Faceless proxy network), "100% 익명" 주거용 프록시를 판매하는 in 50+ countries. The 악성코드 targets both ARM and MIPS processors, cron 작업을 통해 지속성을 확립합니다, and 복구를 방지하기 위해 포트 22의 SSH 접근을 적극적으로 차단합니다.
| Detail | Information |
|---|---|
| Infected devices | 14,000+ |
| Primary target | ASUS routers |
| US victims | 60%+ |
| C2 protocol | Custom Kademlia DHT (P2P) |
| Proxy service | Doppelgänger (Faceless rebrand) |
| Active since | August 2025 |
필수 조치: Update ASUS router firmware immediately. Check for unauthorized cron jobs and unknown processes. If compromised, factory-reset the device. Block known C2 IP 212.104.141.140.
Microsoft's March 2026 Patch Tuesday addresses 79 security flaws, including 2 publicly disclosed zero-day 취약점 and 3 치명적-rated issues. Two 치명적 원격 코드 실행(RCE) bugs affect Microsoft Office and can be triggered via the preview pane.
Key highlights from 이번 달's patch cycle:
The Copilot-related 취약점 (CVE-2026-26144) is particularly noteworthy — it represents a new attack vector where AI assistants can be weaponized to exfiltrate data without user interaction. This is a harbinger of the AI-enabled attack surface organizations now face.
필수 조치: Deploy all March 2026 patches immediately. Prioritize Office updates due to Preview Pane 익스플로잇ation. Review Copilot Agent permissions and restrict network egress capabilities.
A sophisticated campaign running for over a year delivers a new EDR killer dubbed BlackSanta to human resources departments via spear-피싱 emails with malicious ISO files disguised as resumes.
The attack chain is highly evasive: ISO files contain a Windows shortcut disguised as a PDF, a PowerShell script, and an image hiding malicious code via steganography. The extracted code uses DLL sideloading via a legitimate SumatraPDF executable, performs extensive sandbox and VM detection, then deploys BlackSanta.
BlackSanta systematically disables endpoint detection by:
.dls and .sys files필수 조치: Alert HR teams about resume-themed 피싱 attacks. Block ISO file attachments at the email gateway. 모니터링 for unauthorized Defender exclusion changes. Implement application allowlisting.
HPE has patched CVE-2026-23813, a critical authentication bypass in the Aruba Networking AOS-CX operating system that allows unauthenticated remote attackers to reset administrator passwords on CX-series campus and data center switches.
The 취약점 exists in the web-based management interface and requires only low-complexity attacks to 익스플로잇. 다음을 운영하는 모든 조직은 HPE AOS-CX switches 노출된 관리 인터페이스가 있는 경우 즉각적인 위험에 처합니다.
패치가 지연될 경우 완화 조치:
Russia's APT28 (Fancy Bear / GRU Unit 26165) 우크라이나에 대한 사이버 스파이 캠페인을 계속하고 있습니다, 두 개의 임플란트를 배포합니다 — BEARDSHELL and COVENANT — 우크라이나 군인에 대한 장기 감시를 위해 since April 2024.
ESET reports the arsenal also includes SLIMAGENT, capable of keylogging, screenshot capture, and clipboard data collection. 이 캠페인은 지속적인 사이버 차원을 강조합니다 러시아-우크라이나 분쟁의 그리고 군사 통신에 대한 지속적인 타겟팅.
A new technique dubbed "Zombie ZIP" 공격자가 할 수 있게 합니다 conceal malicious 페이로드s 특수 제작된 압축 파일에 안티바이러스 및 EDR 탐지를 우회하는. The technique 익스플로잇s differences in how security tools and legitimate archive software parse ZIP files, creating blind spots that 악성코드 can slip through.
필수 조치: 보안 도구가 중첩된 및 비정상적인 아카이브 형식을 검사할 수 있도록 하세요. 모든 압축 파일 첨부 파일의 샌드박싱을 고려하세요 최종 사용자에게 전달되기 전에.
CISA가 최근 패치된 Ivanti Endpoint Manager (EPM) 취약점 to its Known 악용 Vulnerabilities (KEV) catalog 확인 후 active 익스플로잇ation 실전에서. 다음을 운영하는 조직은 Ivanti EPM 즉시 패치를 우선순위로 두어야 합니다.
패턴은 Ivanti 취약점 being rapidly weaponized continues — 이것은 일련의 치명적 Ivanti 취약점 중 가장 최근의 것입니다 that move from disclosure to 익스플로잇ation in days.
A new Android banking trojan called BeatBanker 가짜 Google Play 스토어 웹사이트를 통해 배포되고 있습니다, masquerading as a Starlink application. Once installed, the 악성코드 hijacks devices to intercept banking 자격 증명s and financial transactions.
필수 조치: 공식 Google Play 스토어에서만 앱을 설치하세요. Google Play Protect를 활성화하세요. 가짜 앱 스토어에 대해 사용자를 교육하세요.
긍정적으로, Microsoft가 출시 중입니다 passkey support for Microsoft Entra on Windows devices, enabling 피싱-resistant passwordless authentication via Windows Hello. 이것은 비밀번호 기반 공격을 제거하기 위한 중요한 단계입니다 — organizations 계획을 시작해야 합니다 Entra passkey deployment.
| 기사 | 영향 |
|---|---|
| 아니오rth Korean UNC4899 Breaches Crypto Firm | 트로이 목마 AirDrop 파일 + 클라우드 기반 기법으로 수백만 달러 암호화폐 탈취 |
| Windows 10 KB5078885 ESU Released | Windows 10 확장 보안 업데이트가 제로데이 2건을 포함한 3월 Patch Tuesday 취약점 해결 |
| Malicious npm Package Impersonates OpenClaw | Package deploys RAT and steals macOS 자격 증명s, SSH keys, crypto wallets, and iMessage history |
✅ 엣지 장치 모니터링 — 침해된 장치 탐지 FortiGate, ASUS, and HPE devices 공격자가 더 깊이 침투하기 전에
✅ 패치 인텔리전스 — 우선순위 CVE 추적 for Microsoft, Ivanti, and network infrastructure 공개 후 수 시간 내
✅ EDR 무결성 검사 — BlackSanta 스타일의 엔드포인트 보안 구성 변조를 식별합니다
✅ AI 보안 태세 — 모니터링 Copilot and AI agent permissions 데이터 유출 방지 vectors like CVE-2026-26144
안전하게. 경계하며.
🗡️ KENSAI 보안팀